시만텍 보안위협대응센터(Symantec Security Response)에 따르면, ‘백도어·듀저(Backdoor.Duuzer)’ 악성코드는 표적 공격에 이용되는 위협으로서 주로 스피어 피싱(spear-phishing) 이메일이나 워터링홀(watering-hole) 공격을 통해 확산되는 것으로 추정된다. 현재까지의 분석에 따르면, 이 악성코드는 한국 기업 및 기관을 주로 겨냥해 컴퓨터를 완전 장악하고 데이터를 탈취하는 것으로 밝혀졌다.
듀저 트로이목마 악성코드는 32비트와 64비트 컴퓨터에서 모두 작동하며, 일단 컴퓨터를 감염시키면, 컴퓨터의 백도어를 통해 ▲시스템 및 드라이브 정보 수집 ▲프로세스 생성, 나열 및 종료 ▲파일 접근, 변경 및 삭제 ▲파일 업로드 및 다운로드 ▲파일의 시간 속성 변경 ▲명령어 실행 등 거의 모든 작업을 수행할 수 있다.
시만텍의 분석 결과, 듀저 공격자들은 악성코드의 이름을 컴퓨터에 설치돼 있는 합법적인 소프트웨어와 비슷하게 변경해 감염을 은닉하는 것으로 나타났다. 시만텍은 듀저 공격자들은 경험이 많고, 보안 전문가의 분석 기법에 대해 잘 알고 있는 것으로 예상된다며, 표적 대상 기업의 컴퓨터에서 중요한 정보를 탈취하려는 의도를 가진 것 같다고 밝혔다.
또한, 듀저 공격자들은 더 많은 한국기업들을 공격하기 위해 웜 바이러스 ‘브램블’과 백도어 트로이목마 ‘조납’도 함께 활용한 것으로 나타났다. 브램블에 감염된 컴퓨터 중 일부는 듀저에도 감염됐으며, 듀저 공격의 C&C 서버로 이용되기도 했다.
브램블은 무작위로 숫자, 문자 등을 입력해 비밀번호를 알아내는 무차별대입 공격을 통해 전파되며, 사용자 이름·비밀번호 목록을 사용한 서버 메시지 블록(SMB) 프로토콜을 통해 임의 IP 주소로 연결한다. 이 때 사용되는 비밀번호는 ‘123123’, ‘abc123’, ‘computer’, ‘iloveyou’, ‘login’, ‘password’ 등과 같이 흔하거나 예측하기 쉬운 것들이다.
조납은 브램블과 함께 설치되며, ‘SmartCard Protector’라는 이름으로 서비스명을 등록해 사용한다. 이 악성코드는 백도어 접속, 공격자에 특정 파일 전송, 파일 저장 및 삭제, 실행파일 다운로드 및 실행, 프로세스 시작 및 종료 등을 수행할 수 있다. 또한, RC4로 암호화된 연결을 통해 감염된 또 다른 컴퓨터로 명령어와 환경설정 데이터를 전송할 수도 있다.
시만텍코리아 제품기술본부 윤광택 상무는 “이번에 발견된 듀저, 브램블, 조납은 모두 한국, 특히 한국의 제조기업들을 집중 겨냥한 악성코드로 정보 탈취를 목표로 한 산업스파이 성격이 강하다”며, “최근 들어 우리나라를 겨냥한 사이버 공격이 증가하고 있으니, 기업의 기밀 유출이 되지 않도록 인프라 차원의 대비와 함께 사용자의 각별한 주의가 필요하다”고 말했다. editor@itworld.co.kr